通过超链接和伪造数据包请求更改论坛用户密码

最新推荐文章于 2024-01-03 19:21:24 发布
最新推荐文章于 2024-01-03 19:21:24 发布
阅读量379 收藏
点赞数
文章标签: xiaobai
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t_i_m_e/article/details/79633948
版权

Javascript CSRF

通过学习过去的漏洞来打开自己挖掘漏洞的思路


谷歌F12可以看到Javascript中cookie存放在document中


通过语法


获取cookie中的指定值

更改用户密码思路如下:


通过F12开发者工具可以看出目标站的修改密码请求为POST请求数据包,下面为伪造POST请求的脚本


编辑超链接脚本,并通过评论上传


192.168.98.195:8081站点即为挂载js脚本的网站

用户点击超链接后密码自动更改为000000。


总结:1.这种平台只能靠搭建,应该不存在这种脑抽的程序员不会将评论区的敏感字符过滤

          2.网民警惕意识增强,如何引诱人点击超链接是需要琢磨的

          3.开启同源策略的网站,此方法无效(几乎所有网站都开了吧。。。)

          4.纯属练习,请各位轻喷

t_i_m_e
关注
SSRF 服务端请求伪造(转载)
bluemoon_0的博客
01-13 196
SSRF 服务端请求伪造(转载)
DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造
橘子女侠
05-05 4867
1. CSRF(跨站请求伪造)简介 (1)CSRF CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 (2)CSRF与XSS的区别 ...
自动通过邮箱连接修改密码
weixin_30379531的博客
11-15 260
做了一个加速器账号出租的项目,按小时收费往外租加速器账号,时间到了之后,系统自动修改加速器的密码 修改密码需要进入绑定的邮箱,点击修改密码的链接,然后在新页面中提交新密码,这一切都需要后台自动完成 将过期的账号放到一个消息队列中,然后一个一个修改,修改出错的标记上,提醒人工修改 下面通过后台管理页面每20秒左右访问这个接口,从消息队列中读取待修改的账 public...
浅谈系列之跨站请求伪造(CSRF)
hobby云说
10-31 411
一、CSRF简介 CSRF,英文全称Cross-Site Request Forgery,跨站请求伪造,坏家伙冒充用户身份执行用户操作。百度上是这么说的:是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的方法。 简而言之就是,坏家伙盗用你的身份,用你的名义发送恶意的请求。突然想到几个成语,CSRF似乎都有点狐假虎威、借刀杀人的味道。 二、CSRF的危害 坏家伙可以用你的名义发邮件、发消息、买东西、转账......甚至,能假借你的名义进行一系列...
Request请求内容编码修改(偷懒) 与 XSS 叙述处理(滚蛋吧,脚本仔)
CoffeeAndIce的博客
12-05 750
  对于在每个方法内部针对性的进行UTF - 8 字符编码的骚操作,已经烦乎其烦,不过确实等你烦的时候似乎就会有耐心去偷懒,好吧,进入正题。本文除了解决这个我看了一堆重复编码之后的代码之后,还有处理XSS攻击的方式,给自己留点速查的方式。 目录        请求内容编码修改部分 1、事实证明这样CV根本不能偷懒(展示例子) 2、如果能一次修改,以后都不用CV多舒服 第一步,寻找源头实现...
数据包修改、自动化脚本实现及app剖析
cky5252的博客
12-03 4734
某一个app定位功能,在任意地方定位的实现与技术分析
CSRF的攻击与防御原理
小晓晓晓林的博客
08-22 2212
CSRF(Cross Site Request Forgery)跨站域请求伪造,是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,也就是人们所知道的钓鱼网站。 CSRF介绍 CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻...
前端面试2022
baidu_41075661的博客
02-03 459
常用函数:https://blog.csdn.net/mus123/article/details/106499506 这一次我应聘的岗位是前端开发工程师。成为一名优秀的程序员是我的追求,为此在研究生阶段我很早就结合岗位要求进行了准备。今年6月到8月份,我在武汉金山办公软件有限公司实习,在这期间参与了小组内的代码开发,并且重新系统的学习了前端的相关知识,包括:前端基础知识,React框架,以及相关的网络协议,能够熟练使用git进行团队合作开发。同时作为一名研究生,在读研期间我成功发表了2篇EI论文,2篇软著
计算机网络知识点
weixin_44705725的博客
01-03 1386
1518,头信息有14字节,尾部校验和FCS占了4字节,所以真正留给上层协议传输数据的大小就是:1518 - 14 - 4 = 1500,那么,1518这个值又是从哪里来的呢?MSL(最大分段寿命),即一个 TCP 分段可以存在于互联网系统中的最大时间,TCP允许不同的实现可以设置不同的MSL值。通常为4分钟。
NISP一级知识点学习笔记总结
weixin_43061533的博客
04-24 8870
NISP一级学习总结 **第一章 信息与信息安全** 什么是信息:香农认为信息是是用来消除随机不确定的东西,事物运动状态,不确定性。 信息也是具体的,可被人,机器生物感知,识别,提取,储存,转换等。 信息是相对独立的存在。 信息具有保护性,具有一定的价值。数据加工后变成了信息。信息经过数字化处理...
一种简单便捷的构造、修改 PCAP 数据包的方法----仅使用 wireshark
Jason_Math的博客
05-25 8462
一种仅使用wirshark,简单、便捷、高效的构造、修改pcap数据包的方法;先使用 wireshark 将数据包以 Hex Dump 格式复制到 txt 文本,修改 txt 具体内容后使用 wireshark 根目录自带的 text2pcap 程序进行转换。
【SSRF01】服务器端请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-15 6868
1. 理解SSRF漏洞的攻击原理; 2. 掌握SSRF漏洞的挖掘方式; 3. 掌握SSRF漏洞的攻击方式和利用方式; 4. 掌握SSRF漏洞的防御方式。
数据包修改参数
m0_43406494的博客
10-17 1084
Get方法 只需使用url的语法,在url中修改参数即可 如 Post方法 使用hackbar插件很方便的添加参数,loadurl将当前页面的url加载到上面的框,勾选post data,添加post的参数,execute即可 怎么使用burpsuite修改?如何直接对数据包进行修改从而post参数? 解答如下: 使用?来添加get方法参数时发送的数据包 使用hackbar添加参数时的数据包(如下图),观察学习得知,关键修改三个地方 ①Get方...
yii2 随笔(六)利用事件触发修改请求
ivhong
03-23 3943
yii2 可以使用事件机制来触发特殊的处理,实现了代码扩展,可以理解为在yii2内核层已经埋下了隐藏的“钩子”,用于后期扩展,比如 yii\base\application::run() 方法就埋下了两个“钩子” // yii\base\Application public function run() { try { $this->stat
修改post参数然后发送
热门推荐
王浩的专栏
09-05 1万+
修改POST参数的方法 最近看DVWA里SQL注入,在medium阶段有一个需求就是,修改post的参数,然后再发送出去。篡改参数是注入里的一个比较重要的方法。讲一下有哪些方法可以做到。 浏览器插件修改参数最初想到的就是浏览器插件,既然浏览器基本的功能可以显示包的内容,包括头部和参数,那应该会有插件可以修改参数吧。在chrome查找了很多,tamper chrome只能修改header,无法修改po
万能”的网站后台账号和密码
xiaoshan812613234的专栏
06-11 7744
虽说是万能,但是也不是全部网站都奏效,把账号和密码按照相同的代码输入进去即可。 1:“or “a“=“a 2: ‘)or(‘a‘=‘a 3:or 1=1-- 4:‘or 1=1-- 5:a‘or‘ 1=1-- 6:“or 1=1-- 7:‘or‘a‘=‘a 8:“or“=“a‘=‘a 9:‘or‘‘=‘ 10:‘or‘=‘or‘ 11: 1 or ‘1‘=‘1‘=1 1
如何修改游戏服务器数据包,游戏数据包的定义
weixin_42314711的博客
08-13 1412
在网络游戏中,会涉及到数据传送,所以就有一个要解决的问题,如何定义数据包格式,就目前我所知道的数据定义方式描述一下,欢迎各位高手指点,第一种方式:定义数据头://网络包头typedef struct PacketHeader{byte id[4];//u_int32 lbbyte len[4];//u_int32 lbbyte version[2];//u_int16 lbbyte...
chrome 网页抓包调试
jimmy123321的博客
06-20 8223
1.用chrome浏览器打开网页,在网页上按F12进入【审查元素】。2.选择Network,再点clear按钮,清空之前的记录,再刷新页面(在打开调试工具的情况下刷新),页面刷新后点stop按钮。3.刷新后在左边找到该网页url,点击 后右边选择Headers,就可以看到当前网页的http头了;选择Response,可以看到返回结果。...
超链接发送post请求
最新发布
08-04
如果你想通过超链接发送POST请求,这并不是超链接的典型用途,因为浏览器默认不会支持直接发送POST请求。 然而,在前端网页开发中,可以借助JavaScript库,比如Fetch API、jQuery的$.ajax()或者axios等,来模拟POST...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值